La démarche d'audit interne

        La phase de planification :

        Détermination des objectifs et du périmètre de la mission :

Cette étape consiste à déterminer les objectifs de la mission (ce que la mission vise) et son périmètre (ce sur quoi elle portera et ne portera pas) ; elle repose sur trois aspects essentiels :

Le premier aspect consiste à déterminer les centres d’intérêt de l’audit interne au regard des différentes catégories d’objectifs (liés à la stratégie, aux opérations, au reporting et/ou à la conformité) à titre d’exemple, la mission se concentrera-t-elle sur l’efficacité et l’efficience des opérations de l’audité, sur le reporting financier de l’audité, ou sur ces deux éléments ?

Le deuxième aspect réside dans les prestations requises de la part de l’équipe d’audit interne. Ainsi, on peut attendre de l’équipe qu’elle réserve au niveau de management approprié la communication des différentes observations sur les contrôles effectués au cours de la mission, ou qu’elle exprime une opinion globale sur les contrôles portant sur le domaine ou sur le processus analysé.

Le troisième aspect concerne les limites de la mission. Par exemple, si l’audit porte sur un processus opérationnel ou un sous-processus, où commence ce processus ou sous-processus et où finit-il ?   Si l’audit porte sur une catégorie précise d’unités opérationnelles géographiquement distinctes, telles que des succursales de service ou des usines, sur quels sites l’équipe d’audit interne se rendra-t-elle et quelle partie de chaque unité opérationnelle la mission couvrira-t-elle ?

        La prise de connaissance des objectifs et des assertions de l’audité :

Il est quasiment impossible d’auditer avec efficacité un domaine que l’on ne comprend pas. La réussite de toute mission dépend, dans une large mesure, de la connaissance de l’audité par l’équipe d’audit. Les auditeurs internes doivent en premier lieu cerner les objectifs et les assertions de l’audité.

Les objectifs de l’audité décrivent ce que ce dernier cherche à réaliser et les assertions sont des déclarations sur ce qui a été réalisé.

Pour l’audité, des objectifs clairs et mesurables constituent des objectifs de performance pertinents et les assertions reflètent le niveau de performance atteint. Pour l’auditeur interne, les objectifs et les assertions de l’audité forment un cadre de référence servant à définir les objectifs de la mission (ce à quoi l’auditeur interne souhaite aboutir). En fin de compte, la relation directe entre d’une part les objectifs et, d’autre part, les assertions de l’audité et les objectifs de la mission d’audit fixe le cadre dans lequel les auditeurs internes pourront aider l’audité à atteindre ses objectifs, ce qui permettra à son tour à toute l’organisation d’atteindre les siens.

        L’identification et l’évaluation des risques :

L’équipe d’audit interne doit identifier et évaluer les risques opérationnels qui menacent la réalisation des objectifs de l’audité et, in fine, de l’organisation. À ce stade de la mission, elle concentre son attention sur le risque inhérent, c’est-à-dire sur le risque encouru par l’audité en l’absence de toute mesure que le management pourrait prendre pour réduire ou gérer les risques identifiés. L’évaluation des risques consiste à estimer leur impact (si ces risques devaient se matérialiser) et leur probabilité d’occurrence. Le fait de considérer les risques en termes de causes et d’effets permet à l’auditeur interne d’évaluer l’ampleur du problème potentiel et sa probabilité de survenue.

L’équipe d’audit interne doit également mettre en balance les niveaux de risque évalués et les seuils de tolérance au risque définis par le management, pour déterminer si la gestion du risque est appropriée. Les niveaux de risque qui, d’après son évaluation, correspondent au seuil de tolérance peuvent être acceptés. Ceux qui dépassent les seuils de tolérance doivent être ramenés à un niveau acceptable. Les modalités de traitement consistent à éviter les risques (y compris en se séparant des activités qui les ont induits), à partager les risques en en transférant une partie à des tiers (par exemple, à un assureur) ou à réduire les risques en mettant en œuvre des contrôles destinés à limiter leur impact, leur probabilité d’occurrence ou les deux.

        L’identification des contrôles clés :

L’auditeur interne doit identifier les contrôles qui sont les plus cruciaux pour ramener les risques opérationnels à un niveau acceptable et, ainsi, donner l’assurance que les objectifs fixés sont atteints.

        L’évaluation de l’adéquation de la conception des contrôles :

L’équipe d’audit interne doit ensuite se prononcer sur la capacité des contrôles clés identifiés à ramener les risques, individuellement et collectivement, à un niveau acceptable, dans l’hypothèse où ces contrôles ont été appliqués et se déroulent comme prévu. À ce stade, les auditeurs internes doivent admettre que la relation entre risques et contrôles n’est pas biunivoque : tel contrôle peut contribuer à maîtriser plusieurs risques, et plusieurs contrôles sont parfois nécessaires pour maîtriser efficacement un risque.

        L’établissement d’un plan de test :

L’équipe d’audit interne doit concevoir la mission de façon à rassembler des preuves suffisantes et adéquates pour atteindre les objectifs de la mission. Pour établir un plan de test, il faut déterminer la nature, le calendrier d’application et l’étendue des procédures d’audit nécessaires à la collecte des preuves d’audit requises. Les plans de test peuvent comporter des tests directs des contrôles, des tests des performances, qui apportent des preuves indirectes sur le fonctionnement effectif des contrôles, ou les deux. Un plan destiné à tester des contrôles déjà appliqués doit permettre la collecte et l’évaluation de preuves suffisantes et adéquates, de façon à déterminer si les contrôles qui sont conçus de manière adéquate fonctionnent de manière effective.

        L’élaboration d’un programme de travail :

Le programme de travail est un outil de planification extrêmement important. Il énumère les procédures d’audit nécessaires à la réalisation des objectifs de la mission. Au cours de la mission, les auditeurs internes cochent les procédures afin d’indiquer que le travail a été effectué, ce qui permet à leurs superviseurs d’examiner celui-ci et de piloter le travail qui reste à faire. À la fin de la mission, le programme achevé sert à documenter le travail effectué et montre quels ont été les intervenants et quand le travail a été effectué.

...